Check Point Güvenlik araştırmacıları işlevselliği tam kapsamını daha iyi anlamak için bir süre önce keşfedilen kötü amaçlı yazılım analiz ettik ve mekanizmalar yazar tarafından zorlanan(s) operasyonun bozulması en iyi korumadır olarak.
Matsnu Check Point güvenlik uzmanları tarafından zararlı yazılım sistemine verilen addır. Bir bilgisayar sızar sonra Onlar askıdaymış gibi hareket ettiğini ekte. neyse, Diğer antivirüs tüccarlar Boxed.DQH olarak tanımıyor (AVG) veya Androm arka kapı (Kaspersky).
makineniz ortadan kalktıktan sonra, askıdaymış gibi Matsnu zararlı yazılım davranır ve komuta ve kontrol dosyaları indirmek olabilir (C&C) Sunucu ve bunları yürütmek. bu teknik etki kapatılıyor yönelik herhangi bir girişim kötü amaçlı yazılımları kalkanları gibi DGA aracılığıyla yapar, dize terk etki boşaltma veya kara listeye. Check Point'in uzmanlar çeşitli anti-demonte özellikleri ve paketleme teknikleri olduğu gibi bu sürecin analizi gerçek bir meydan okuma olmuştur ifade.
Şifreli Bilgi C'ye teslim mi&Cı HTTP yoluyla
Matsnu yüklendiğinde, o sistem hakkında çeşitli bilgiler toplayabilirsiniz. Örneğin, o kullanıcı ve bilgisayar adını toplamak olabilir, işletim sistemi sürümü, platform mimarisi, grafik kartı ve CPU ilgili veriler.
Bir sanal ortamda çalışır olup olmadığını belirlemek için, o da belli kayıt defteri anahtarlarını denetler. Bu kontrol kötü amaçlı yazılım analizi girişimi uyarabilirim.
RSA asimetrik şifreleme algoritması enfekte makineden tüm toplanan bilgiler paketlerini şifrelemek için kullanılan bir yöntemdir. Kamu ve özel - Bu algoritma iki farklı tuşlar dayanır, ve şu anda şifreleme en güçlü türü olarak kabul edilir. Böyle CryptoWall olarak Ransomware tehditler de RSA şifreleme kullanır.
genel anahtar şifreleme işlemi için kullanılır. Özel anahtar gizli biridir ve şifre çözme işlemi içindir. Matsnu C'ye istemci tarafından gönderilen her bir paketin şifreler&bellekte bir RSA ortak anahtarı ve depolar kullanmaktan C sunucusu. bilgiler bu şekilde kilitlendiğinde, Matsnu eylemini sürdürüyor. Bu Base64 düzeni aracılığıyla bilgi paketi kodlar ve sunucuya bir HTTP paket içeriği olarak bilgi gönderir. İstemci C alan her paket&C sunucusu AES ve manuel şifreleme rutini ile şifrelenmiş.
DGA Mekanizması yayından kaldırılan yönlülük artırır
Teknik kısa Matsnu C temas sert kodlu alanların bir listesini sahip olduğu ortaya&C sunucusu. Uzmanlar DGA kullanan yeni geçici etki yaratabilir açıklamak (Alan nesil algoritması).Bu eylem siber suçluların kayıt sağlar, kullanmak ve enfekte makine ile iletişim kurmak.
Araştırmacılar nesil algoritması kırmak yoksa yöntem botnet aşağı alarak karşı etkili söndürmeye ve koruma yöntemlerinin şekilde alabilirsiniz.
Sözde Matsnu üzerinde bütün analizi hakkında daha fazla bilgi mevcuttur teknik kısa Kontrol Noktası araştırmacı Skuratovich tarafından sağlanan.